YD_T 3160-2016互联网接入服务系统安全防护检测要求.pdf

ICS 33.040M 10YD中华人民共和国通信行业标准YD/T3160-2016互联网接入服务系统安全防护检测要求Security protection testing requirements for theinternet service provider system2016-07-11发布2016-10-01实施中华人民共和画工业和信息化部发布 YD/T试编号：互联网接入服务系统-第2级-业务安全-业务安全保障能力-03测试项目：YD/T3159—2016《互联网接入服务系统安全防护要求》-c，ISP排除外力因素（非本企业可控制的因素）业务可用性应达到99.99%测试步骤：访谈网络运维人员，查看网络设计文档、设备配置文档、运维记录、巡检报告、故障告警记录等预期结果：ISP排除外力因索（非本企业可控制的因素）业务可用性达到≥99.99%判定原则：达到以上预期结果，则通过，否则不通过测试编号：互联网接入服务系统-第2级-业务安全-业务安全保障能力-04测试项目：YD/T3159一2016互联网接入服务系统安全防护要求》-d，ISP应做到在业务中断后，排除外力因素（非本企业可控制的因素）在可接受的时间范围内恢复业务，且在最大程度上保护业务数据的完整性测试步骤：访谈网络运维人员，查看网络设计文档、设备配置文档、运维记录、故障告警记录、故障处理报告等预期结果：1）在业务中断后，ISP排除外力因素（非本企业可控制的因素）在可接受的时间范围（业务恢复时间间隔平均≤8h，最长为12h）能够内恢复业务：2)ISP能够最大程度上保护业务数据的完整性：3）ISP能够向用户提供故障通告以及故障恢复通告判定原则：达到以上预期结果，则通过，否则不通过测试编号：互联网接入服务系统-第2级-业务安全-业务安全保障能力-05测试项目：YD/T3159-2016《互联网接入服务系统安全防护要求》-e，ISP在不考患主动岩机维护的情况，可靠性应达到99.9%以上测试步骤：访谈网络运维人员，查看网络设计文档、设备配置文档、运维记录、故障告警记录、巡检报告等预期结果：ISP在不考患主动宕机维护的情况，可靠性达到99.9%以上判定原则：达到以上预期结果，则通过，否则不通过 YD/T 3160-20数据保护及备份测试编号：互联网接入服务系统-第2级-业务安全-数据保护及备份-01测试项目：YD/T3159一2016《互联网接入服务系统安全防护要求》-a，业务提供、控制与管理过程应保护用户隐私，不溃漏用户相关敏感信息测试步骤：访谈网络运维和安全管理人员，查看网络设计文档、设备配置文档、安全管理制度、运维记录、用户投诉情况、事故处理报告等预期结果：ISP在业务提供、控制与管理过程能够保护用户隐私判定原则：达到以上预期结果，则通过，否则不通过测试编号：互联网接入服务系统-第2级-业务安全-数据保护及备份-02测试项目：YD/T3159一2016《互联网接入服务系统安全防护要求》-b，应保证计费账务数据中关键的信息不被基改测试步骤：1）访谈安全管理人员，查看设备配置文档、安全管理制度、运维记录：2）查看计费账务数据的安全防护工具，查看访间控制权限、配置策略、操作日志和审计记录等预期结果：ISP能够保证计费账务数据中关键的信息不被算改判定原则：达到以上预期结果，则通过，否则不通过测试编号：互联网接入服务系统-第2级-业务安全-数据保护及备份-03测试项目：YD/T3159-2016《互联网接入服务系统安全防护要求》-c，ISP关键数据应有必要的客灾备份测试步骤：1）访谈网络运维人员和安全管理人员，查看数据备份要求、安全策略、灾难应急预案、数据备份记录等，查看ISP相关关键数据的备份方式：2）通过加载备份数据等方式验证其有效性及恢复能力是否均符合要求预期结果：1）关健数据（如认证业务数据、计费账务数据、应用配置数据、管理员操作维护记录、用户信息等）备份方式与设计/验收文档一致；2）备份数据能够完成有效性验证并与已经存档的验证记录或报告保持一致判定原则：达到以上预期结果，则通过，否则不通过 YD/T试编号：互联网接入服务系绕-第2级-业务安全-数据保护及备份-04测试项目：YD/T3159一2016《互联网接入服务系统安全防护要求》-d，ISP的数据备份范围和时间间隔、数据恢复能力应符合相关要求测试步骤：访谈网络运维人员和安全管理人员，查看数据备份要求、安全策略、灾难应急预案、生数据备份记录等，查看ISP重要信息数据的备份范围、时间间隔预期结果：ISP的数据备份范围和时间间隔、数据恢复能力满足行业管理、业务运营企业应急预案相关要求判定原则：达到以上预期结果，则通过，否则不通过5.2.2网络安全结构安全测试编号：互联网接入服务